Datenschutz bei Fahrerkarten: Compliance-Guide für Sachsen

Die Digitalisierung im Transportwesen hat viele Vorteile, bringt aber auch neue Herausforderungen mit sich. Das ist besonders beim Schutz sensibler Daten der Fall. So müssen sächsische wie auch Unternehmen anderer Bundesländer beim Umgang mit digitalen Fahrtenschreibern besondere Vorsicht walten lassen. Der Grund: die rechtlichen Anforderungen sind komplex und die Bußgelder empfindlich hoch.

Wer seine Fahrerkarte auslesen lässt, erzeugt dabei automatisch personenbezogene Daten. Letztere genießen besonderen Schutz durch die EU-Datenschutzgrundverordnung wie auch dem deutschen Fahrpersonalrecht. Das ist eine Kombination, die schnell zu rechtlichen Fallstricken führen kann. Die nachfolgenden Abschnitte dieses Compliance-Guides zeigen sächsischen Betrieben, wie sie die Gratwanderung zwischen gesetzlichen Pflichten und Datenschutzbestimmungen erfolgreich meistern können.

Datenschutz bei Fahrerkarten: Compliance-Guide für Sachsen 

Digitale Fahrerkarten können nicht nur Lenkzeiten, sondern auch detaillierte Bewegungsprofile der Fahrer speichern. Das stellt sächsische Unternehmen wie auch andere vor komplexe Herausforderungen beim Datenschutz. Denn diese Daten dürfen ausschließlich für gesetzlich vorgeschriebene Kontrollen verwendet werden.

Laut der EU-Verordnung 165/2014 dürfen Unternehmen Fahrdaten maximal ein Jahr archivieren. Nach diesem Zeitraum müssen alle Informationen sicher gelöscht werden. Wo ist das besonders kritisch? Es ist bei der Datenauslesung. Denn hier brauchen Betriebe wasserdichte Zugriffskontrollen und jeder Zugriff muss protokolliert werden.

Im Übrigen haben Fahrer das Recht, zu erfahren, welche ihrer Daten gespeichert werden. Missachtet man diese Compliance-Regeln, drohen empfindliche Bußgelder von Datenschutzbehörden

Datenspeicherung und Aufbewahrungsfristen

Die Fahrerkarte speichert die Daten für mindestens 28 Tage. Ist die maximale Speicherkapazität erreicht, werden die ältesten Daten überschrieben. Aus diesem Grund müssen die Daten der Fahrerkarte spätestens alle 28 Tage ausgelesen werden. Daten der Massenspeicher müssen spätestens alle 90 Tage ausgelesen werden.

Die eigentliche Aufbewahrungspflicht für Unternehmen beginnt nach dem Auslesen. Wurden die Daten von den Fahrerkarten und den Massenspeichern kopiert, muss das Unternehmen diese ein Jahr ab dem Zeitpunkt des Kopierens speichern.

Wenn die Daten auch zur Aufzeichnung der Arbeitszeit verwendet werden, beträgt die Aufbewahrungsfrist zwei Jahre. Auch nach Ablauf dieser Fristen müssen die Daten sicher gelöscht werden. Durch diese gestaffelte Löschung kann verhindert werden, dass Unternehmen versehentlich noch benötigte Daten löschen.

Betroffenenrechte und Informationspflichten

Durch Betroffenenrechte und Informationspflichten müssen Unternehmen ihre Fahrer umfassend darüber aufklären, welche Daten sie aus den Fahrerkarten auslesen und wie diese verwendet werden. Relevant ist hierbei Artikel 13 DSGVO. Dieser verlangt eine klare Aufklärung über Verarbeitungszwecke, Rechtsgrundlagen und Speicherdauer bereits bei der ersten Datenerhebung.

Mit dem Auskunftsrecht und Art. 15 der Datenschutz-Grundverordnung (DSGVO) wird Fahrern ein bedeutsames Betroffenenrecht garantiert. Als betroffene Person können sie dadurch von dem für die Datenverarbeitung Verantwortlichen Auskunft darüber verlangen, welche Daten über Sie gespeichert sind bzw. verarbeitet werden. Was bedeutet das konkret? Fahrer können von ihrem Arbeitgeber jederzeit eine Kopie aller gespeicherten Fahrerdaten verlangen.

Das Recht auf Löschung nach Ablauf der Aufbewahrungsfristen ist ebenso wichtig. Auch wenn die Widerspruchsrechte nur eingeschränkt bestehen, müssen Unternehmen dennoch transparent kommunizieren, wenn sie Fahrerdaten über die gesetzlichen Anforderungen hinaus nutzen wollen. Das ist besonders bei der Leistungsanalyse oder der Flottenoptimierung relevant. Fahrer könnten hierbei theoretisch der erweiterten Nutzung ihrer Daten widersprechen, denn es greifen die vollen Betroffenenrechte.

Technische und organisatorische Maßnahmen (TOMs)

Technische und organisatorische Maßnahmen (TOMs) sind nach der Datenschutz-Grundverordnung (DSGVO) gesetzlich vorgeschrieben. Sie sind die Grundlage für jede wirksame Datenschutzstrategie. Diese Schutzmaßnahmen müssen sowohl beim Auslesen der Fahrerkarten als auch bei der Speicherung und Verarbeitung der Daten greifen.

Vor allem die Verschlüsselung als auch Zugriffskontrolle gehören zur technischen Seite. So sollten alle ausgelesenen Daten aus Fahrerkarte und Tachograph nur mit einer für Dritte nicht lesbaren Verschlüsselung übertragen werden. Moderne Auslesegeräte können dies. Sie arbeiten mit aktuellen Verschlüsselungsstandards und biometrischen Sicherheitsmerkmalen.

Zusätzlich muss jede Software jeden Zugriff auf die sensiblen Fahrdaten protokollieren und unveränderliche Logdateien erstellen. Organisatorisch müssen Unternehmen klare Berechtigungskonzepte einführen. Was bedeutet das? Nur autorisierte Mitarbeiter dürfen Fahrerkarten auslesen und auswerten.

Datenschutz-Folgenabschätzung und Dokumentation

Bei der Fahrerkarten-Auswertung wird schnell klar, ob eine Datenschutz-Folgenabschätzung nötig ist. Hierbei müssen sich Unternehmen folgende wichtige Frage stellen: Liegt eine systematische umfangreiche Überwachung vor? Wenn Fahrerkarten kontinuierlich Bewegungsdaten, Lenkzeiten und Standorte aufzeichnen, ist hierfür die Wahrscheinlichkeit hoch.

Mit anderen Worten: Besteht durch eine wie auch immer geartete Verarbeitung ein möglicherweise hohes Risiko für die Rechte und Freiheiten natürlicher Personen, ist eine Datenschutz-Folgenabschätzung durchzuführen. Diese Schwelle ist für Unternehmen schnell erreicht, die mit umfangreichen Fahrerkartenanalysen arbeiten.

Die Dokumentation sollte parallel zu allen anderen Compliance-Maßnahmen laufen. Hierbei müssen sämtliche Verarbeitungstätigkeiten ins Verzeichnis der Verarbeitungstätigkeiten aufgenommen werden. Vor Beginn einer geplanten Datenverarbeitung sind die jeweils Verantwortlichen in der Pflicht, eine Abschätzung der Folgen vorzunehmen und zu dokumentieren.